Sei sulla pagina 1di 4

REPORT ict security ict security ict security ict security

Minacce in evoluzione e nuovi modelli di attacco


Gli attacchi e le vulnerabilit non soLo crescono in numero ma diventano pi sofisticati, sfuggenti,
diversificati e quindi efficaci, riuscendo a sfruttare in modo integrato ogni tipo di debolezza
umana o tecnologica

l Web diventato il terreno


di incontro tra tutti gli abitanti del pianeta che hanno la
possibilit di collegarsi in Rete
attraverso un computer o altri dispositivi che lo permettono. Nel
Web possibile informarsi (Wiki),
socializzare (social networking),
scambiare file (P2P networking),
creare pagine di opinioni personali
(blog) e cos via. Il Web diventato un mondo senza confini e aperto
a chiunque voglia parteciparvi per
portare il proprio contributo.
Purtroppo proprio questa apertura totale lo rende unattrattiva interessante per chi ha ben altri scopi, non
del tutto leciti, come i cybercriminali intenzionati a compiere frodi a
danno degli utenti, spesso inconsapevoli dei pericoli che corrono.
Uno dei rischi maggiori consiste nel
diventare il mezzo di trasmissione
di un malware, condividendo un contenuto o un link diretto che porta a
scaricare un codice maligno.

I social network tra i


principali vettori di attacco
Uno tra i pi labili confini per le
aziende rappresentato dai social
network. Sono utilizzati da moltissime imprese, soprattutto quelle che si rivolgono al consumatore
finale e, soprattutto, sono vissuti da molti dipendenti. Peccato
i social network siano anche tra i
pi semplici e quindi pi utilizzati
vettori di attacco per la diffusione
di malware e per le frodi basate sul
social engineering, come sottolineano gli esperti del Clusit.

D78

In particolare, i siti che sono gi


stati utilizzati per scopi malevoli, e sempre pi lo saranno, sono
i pi diffusi: Facebook, Linkedin e
Twitter. Lo saranno, in particolare, attraverso i dispositivi mobili,
utilizzati con eccessiva confidenza
e fiducia per accedere quotidianamente ai social media e, grazie al
fenomeno del Bring Your Own Device,
per collegarsi alla rete aziendale. Cliccare su un link condiviso da
qualcuno che probabilmente si conosce
facile, ma nellaccesso a tale link
sar sempre pi facile incontrare un
malware che si installer sul proprio
dispositivo. Proprio gli attualmente
in voga ransomware si stanno propagando anche attraverso questa strada.
Elenchiamo le prime 5 minacce sui
social network secondo gli esperti:
1 - Mobile ransomware
I malware di tipo cryptolocker
hanno subito un duro colpo con la
chiusura del botnet Zeus, ma le
strade del profondo blu sono infinite e nuovi ransomware stanno trovando altre vie. Conviene ignorare
tutti i messaggi che vi accusano di
crimini osceni contro animali o bambini. Purtroppo, talvolta, non sono
cos espliciti.
2 Trojan e video raccapriccianti
Sfruttando il gusto del macabro,
piuttosto diffuso a giudicare dal
successo di alcune serie televisive, i cybercriminali legano i malware, trojan in particolare sembrerebbe, a video su delitti efferati,
come decapitazioni o peggio.
3 Attacchi scam da account Linkedin
Meno truculenti, ma anche pi pe-

ricolosi sono gli attacchi scam,


condotti tipicamente, attraverso
messaggi e-mail. Sono in crescita
quelli mandati da falsi indirizzi
Linkedin, che promettono guadagni
facili con un comodo lavoro da casa,
poco impegnativo e molto remunerativo. Una volta abboccato tutti i
vostri dati personali saranno con
ogni probabilit utilizzati per
frodi dirette a voi e/o altri.
4 Scam o spam legati alle ricerche
popolari
Come gi in tante occasioni (tra le
ultime, tuttora in voga, Ebola), i
cybercriminali sfruttano lattenzione a specifici temi e, con la
tecnica detta di search o SEO poisoning, fanno in modo che siti Web
creati ad hoc risultino tra i primi
risultati nelle parole pi popolari
sui motori di ricerca. Non un caso
se la classifica delle ricerche su
Google ha una corrispondenza quasi
uno a uno con le campagne di spam.
In particolare, i cybercriminali non
mancano mai di sfruttare la morte di
una qualche celebrit.
5 Pubblicit malevola sui social
network
La pubblicit maligna, cio che
reindirizza a pagine Web contenenti
malware, utilizzata da tempo, per
esempio per il ransomware collegato
a siti porno o peer-to-peer. Sono direttamente le reti pubblicitarie che
distribuiscono minacce integrate in
Web advertising, ovviamente non consapevolmente, ma, quantomeno, perch
non si pongono il problema e non controllano i file dei banner che linserzionista manda loro. Tali network

ict security ict security ict security ict security REPORT

evidentemente non hanno sistemi di


sicurezza adeguati e, indirettamente, tradiscono la fiducia del sito
che gli ha affidato la vendita di
spazi pubblicitari. Risultato, per
esempio, che anche la piattaforma
advertising di Facebook, dotato di
ottima reputazione, ospita adware.

Lavvento del Ransomware


Cryptolocker stato probabilmente
uno dei principali protagonisti del
2014, gettando il panico tra molti
utilizzatori di dispositivi mobili.
Appartiene alla categoria emergente
del cosiddetto ransomware: lultima
moda tra i cybercriminali perch
consente loro di guadagnare tanto in
poco tempo e poco sforzo.
Ransom in inglese significa riscatto. Il dispositivo infettato viene
bloccato e il codice maligno chiede
di pagare un riscatto al proprietario per liberarlo. Non una novit
assoluta, perch nato diversi anni
fa, ma era poco diffuso allinizio in
quanto meno efficace di oggi. Infat-

ti, allinizio i ransomware venivano


annidati soprattutto nella pubblicit sui siti pornografici, bloccando
il computer su una videata alquanto
esplicita e, per taluni, imbarazzante. Il successo stato per notevole e nel 2014 si passati a un uso
pi massiccio con una nuova generazione di malware. I primi, infatti, solo apparentemente bloccavano
il computer, ma in realt fermavano la videata che era relativamente
semplice da eliminare. Con la nuova
generazione di ransomware, il computer viene effettivamente bloccato,
perch i dati vengono crittografati.
Inoltre, nel 2014 sono comparsi i
primi codici di questo tipo indirizzati ai dispositivi mobili come
smartphone e tablet: facile immaginare il panico di chi si vede bloccata quella che per tanti diventata unestensione vitale del proprio
io. La crescita costante dallintroduzione della prima variante che
ha preso di mira i dispositivi iOS,
alla prima variante per Android che

crittografa i dati del dispositivo.


Sono quattro i mobile ransomware
pi dannosi scoperti nel 2014: Simplocker, Cryptolocker, iCloud Oleg
Pliss e FakeDefend.
Simplocker stato identificato
giugno 2014. Si presenta come applicazione trojan, per esempio in file
Flash Player. Si tratta del primo
vero ransomware per Android, nel
senso che crittografa realmente i
file (con estensione jpeg, jpg, png,
bmp, gif, pdf, doc, docx, txt, avi,
mkv, 3gp e mp4) sul telefono.
Un avviso sullo schermo che indica
che il telefono bloccato e che per
sbloccarlo necessario effettuare
un pagamento. Anche dopo la disinstallazione dellapplicazione in
modalit provvisoria, i file devono
essere decrittografati.
Cryptolocker, scoperto a maggio
2014, viene camuffato come unapplicazione BaDoink per scaricare
video. Anche se il malware non causa danni ai dati del telefono, visualizza una schermata di blocco ad

D78

REPORT ict security ict security ict security ict security


opera della polizia locale, personalizzato in base alla geolocalizzazione dellutente finale. Il blocco
dello schermo viene lanciato ogni
5 secondi rendendo difficoltoso il
funzionamento del dispositivo senza
la disinstallazione del malware.
Il terzo iCloud Oleg Pliss, scoperto anchesso a maggio 2014 ed
il primo caso segnalato di ransomware per dispositivi Apple. In effetti
non si tratta di un malware vero
e proprio, perch gli attacchi avvengono tramite account iCloud compromessi in combinazione con alcune
tecniche di social engineering.
Gli esperti ipotizzano che gli autori degli attacchi sfruttino la
funzionalit Trova il mio iPhone,
iPad o Mac di Apple, unitamente a
password riciclate ottenute tramite
violazioni delle password.
Lattacco, tuttavia, non funziona
se il dispositivo ha gi un codice
di accesso impostato (blocco del telefono). Il malware potenzialmente
pu violare informazioni relative a
calendario e contatti e consentire
allautore dellattacco di eliminare informazioni dal telefono.
Infine, FakeDefend il pi vecchio,
scoperto a luglio 2013, e prende di
mira i dispositivi Android. Si presenta come unapplicazione antivirus contraffatta che invita lutente
finale a pagare una sottoscrizione
completa dopo avere eseguito una
falsa scansione e avere mostrato
un elenco di infezioni hard-coded
individuate sul telefono.
Se lutente decide di pagare la somma, i dettagli della carta di cre-

10

D78

dito forniti vengono trasmessi al


server dellautore dellattacco in
forma di testo normale. I dettagli
rubati della carta di credito possono essere usati successivamente per
transazioni illecite.
Il ritorno dinvestimento per i
cybercriminali alto, vista la diffusione dei dispositivi mobili, per
questo si ipotizza che i ransomware
saranno sempre pi indirizzati verso gli smartphone. C un ulteriore
vantaggio, rappresentato dalla minore consapevolezza dei rischi che
hanno gli utenti di dispositivi mobili, rispetto ai vecchi lupi di
mare della navigazione da pc.

Gli attacchi mirati e


persistenti
Tutti i rapporti divulgati dalle
principali societ impegnate nella sicurezza concordano su un dato:
aumentano il numero degli attacchi
mirati, cio condotti con un preciso fine, e di quelli silenti,
cio orientati a un obiettivo evitando di far rumore. Sono quelli
che vengono raccolti nella categoria Advanced Persistent Threat.
Gli APT sono lo strumento principale
per perseguire tali obiettivi illeciti e sono utilizzati in tutti gli
ambiti: nello spionaggio industriale o governativo, nelle azioni di
sabotaggio, nelle frodi, nei furti
di propriet intellettuale, nella
sottrazione di dati e cos via.
Gli aggettivi advanced e persistent indicano le caratteristiche
principali di questi attacchi: luso
di tecniche sofisticate, la combi-

nazione delle stesse in una strategia basata su pi fasi e la tenacia con cui questa viene applicata
con continuit fino allottenimento
dellobiettivo e oltre. Oltre, perch in casi come lo spionaggio, il
malware progettato per annidarsi e
continuare a spiare anche per anni,
finch non viene scoperto.
Recentemente, per esempio, sono stati
trovati malware che spiavano enti
governativi e aziende statunitensi,
probabilmente di origine russa (un
sospetto dovuto alla presenza di caratteri cirillici in alcune stringhe
di testo incluse nel codice).
Le fasi di un attacco APT sono diverse: secondo alcune classificazioni
5, per altri 6 o 7. Di fatto, non
c una reale uniformit, perch alcune di queste fasi possono mancare
o, pi spesso, essere accorpate in
ununica azione a seconda dei casi.
La caratteristica principale
lutilizzo di pi tecniche organizzate secondo una sequenza abbastanza standard, perlopi rappresentata in una serie di fasi ognuna
propedeutica alla successiva, che
partono dalla ricognizione, alla

ict security ict security ict security ict security REPORT

compromissione di un primo sistema, allespansione allinterno della rete aziendale e alla paziente e
costante osservazione dellattivit
svolta al suo interno (predisponendo un centro di Command e Control)
fino alla fase centrale di sottrazione delle informazioni.

LInternet of Things e le
nuove botnet
Dopo il Web 2.0, si cominciato a
parlare di Web 3.0, una definizione che stata presto abbandonata
a vantaggio di due altre diciture:
Machine to Machine (M2M) o Internet of Things (IoT). Di fatto, il
Web sempre stato concepito come
linterazione tra un individuo e una
macchina (server), poi si passati
al 2.0, che prevede linterazione
tra gli individui, comunque mediata
da una macchina. Il terzo passo
linterazione diretta tra macchine.
Di fatto, sar presto maggioritario il numero di dispositivi posti
in rete per svolgere compiti diversi da quelli di mettere in comunicazione individui o fornire informazioni a questi stessi. Si tratta,

per esempio, di sistemi di controllo di impianti industriali collegati


a sensori che rilevano determinati
parametri. Quando questi ultimi superano una soglia potrebbe partire
un allarme e il sistema di controllo
genera unazione corrispondente. La
possibilit di utilizzare la rete IP
e Internet in particolare per attuare
una soluzione del genere gi stata presa in considerazione. Ancora
una volta, sono le problematiche di
sicurezza che faranno la differenza.
Quali saranno le sfide del futuro per
le aziende che si occupano di sicurezza, una cosa certa: non possono continuare a giocare a nascondino
con i ragazzi cattivi. Una rincorsa
senza sosta da una minaccia a un nuovo rimedio non ha senso. necessario modificare le regole del gioco:
cambiare approccio e anticipare le
mosse dellavversario, scendendo sul
suo stesso terreno e partendo dagli
obiettivi che si pone.
Le minacce rivolte allIoT che,
oggi, sono ipotizzabili, riguardano in primo luogo la disponibilit
del servizio: un DDoS mette in seria difficolt la trasmissione delle informazioni cui le macchine in
rete sono preposte.
Ovviamente, gli attacchi a infrastrutture critiche rivolte a sistemi SCADA rappresentano un fronte di
guerra e scenari da vera e propria
Cyber War sono certamente realistici. In questi contesti ipotizzabile
che enti governativi possano stanziare i fondi necessari per sviluppare kit di attacco mirati, al fine
di colpire un singolo obiettivo.

Gi il costo per un sabotaggio poco


probabile sia sostenibile per colpire un concorrente, ma se si tratta di
un nemico lo scenario cambia.
Il cybercrime, invece, si sta attrezzando per abbandonare le botnet cos
come oggi le conosciamo, cio composte da pc e server, e sta sfruttando
la maggiore superficie di attacco,
grazie al fatto che un numero consistente di dispositivi M2M in Rete
utilizzano sistemi noti come Linux.
Botnet complesse, composte da dispositivi di differente natura, sono
gi una realt: stato, infatti,
registrato il primo caso di frigorifero utilizzato in una sorta di botnet per mandare spam. Il grosso rischio, in questo contesto, che in
molti di questi dispositivi vengano
utilizzati vecchi pezzi di codice
o, comunque, software open source
che difficilmente saranno aggiornati: chi si occuper dellupgrade
del firmware del forno a micronde
o della lavatrice? La probabilit
che buona parte delle macchine in
rete resti indifesa rende lIoT una
miniera doro per chi cerca una macchina da usare gratuitamente.
, infine, ipotizzabile un futuro in
cui avverr il passaggio dalla minaccia informatica a quella fisica:
gi oggi alcuni modelli di automobile dispongono di componenti elettronici e computer di bordo raggiungibili da remoto via wireless, che
potrebbero essere manomessi provocando un incidente.
A quel punto la sensibilizzazione
verso limportanza della cyber security sar compiuta.
R

D78

11